Plataforma
go
Componente
github.com/controlplaneio-fluxcd/flux-operator
Corrigido em
0.36.1
0.40.0
O CVE-2026-23990 é uma vulnerabilidade de bypass de impersonação no Flux Operator, um componente do ecossistema Kubernetes. Essa falha permite que um atacante, explorando a falta de validação de claims vazios no OpenID Connect (OIDC), assuma a identidade de um usuário autenticado, obtendo acesso não autorizado aos recursos gerenciados pelo Flux Operator. A vulnerabilidade afeta versões anteriores a 0.40.0 e foi publicada em 02 de fevereiro de 2026. A correção está disponível na versão 0.40.0.
A exploração bem-sucedida do CVE-2026-23990 pode resultar em acesso não autorizado a recursos críticos dentro do cluster Kubernetes gerenciado pelo Flux Operator. Um atacante pode, por exemplo, modificar configurações de GitOps, implantar aplicações maliciosas ou obter acesso a segredos armazenados. O impacto potencial é significativo, pois a impersonação permite a escalada de privilégios e a tomada de controle do ambiente. A ausência de validação adequada dos claims OIDC abre uma brecha para que um atacante injete informações falsas, enganando o sistema e obtendo acesso indevido. A vulnerabilidade se assemelha a outros casos de falhas de autenticação e autorização em sistemas de gerenciamento de configuração.
A vulnerabilidade foi divulgada publicamente em 02 de fevereiro de 2026. A probabilidade de exploração é considerada média, dada a complexidade da configuração OIDC e a necessidade de um atacante ter acesso à rede do cluster Kubernetes. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A vulnerabilidade não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.
• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.
auditctl -l | grep -i oidc• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.
// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
return nil, errors.New("Invalid OIDC claims")
}• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-23990 é a atualização para a versão 0.40.0 do Flux Operator, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao painel de controle do Flux Operator e fortalecer as políticas de autenticação OIDC. Implementar regras de firewall para limitar o acesso à interface web do Flux Operator a endereços IP confiáveis também pode reduzir a superfície de ataque. Após a atualização, confirme a correção verificando os logs do Flux Operator para garantir que as requisições OIDC estejam sendo validadas corretamente.
Atualize o Flux Operator para a versão 0.40.0 ou superior. Se não for possível atualizar imediatamente, configure seu provedor OIDC para emitir tokens com as claims `email` e `groups` não vazias. Alternativamente, revise e ajuste as expressões CEL personalizadas para assegurar que os valores resultantes de `username` e `groups` não sejam vazios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23990 is a vulnerability in Flux Operator versions before 0.40.0 that allows attackers to bypass impersonation checks via empty OIDC claims, potentially gaining unauthorized access to Kubernetes resources.
You are affected if you are running Flux Operator versions prior to 0.40.0 and using OIDC for authentication. Assess your environment immediately.
Upgrade Flux Operator to version 0.40.0 or later. If immediate upgrade is not possible, implement stricter OIDC claim validation.
While no active exploitation has been confirmed, the vulnerability's nature suggests a low barrier to exploitation, and organizations should prioritize patching.
Refer to the official Flux Operator documentation and release notes for details on CVE-2026-23990 and the corresponding fix: [https://fluxcd.io/](https://fluxcd.io/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.